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Bescheinigung 

Die Francotyp-Postalia AG & Co in Birkenwerder/Deutschland hat eine Patentanmeldung 
unter der Bezeichnung 

"Verfahren zum Schutz eines Sicherheitsmoduls und 
Anordnung zur Durchfuhrung des Verfahrens" 

am 12. Marz 1999 beim Deutschen Patent- und Markenamt eingereicht. 

Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der ursprung- 
lichen Unterlagen dieser Patentanmeldung. 

Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig das Symbol 
G 1 1 C 5/14 der Internationalen Patentklassifikation erhalten. 
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Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur 
Durchfuhrung des Verfahrens 



Beschreibuna 

Die Erfindung betriffl ein Verfahren zum Schutz eines Sicherheitsmoduls, 
gemaB der im Oberbegriff des Anspruchs 1 angegebenen Art, und eine 
Anordnung zur Durchfuhrung des Verfahrens, gemali der im Oberbegriff 
des Anspruchs 3 angegebenen Art. Ein solcher postal ischer 
Sicherheitsmodul ist insbesondere fur den Einsatz in einer 
Frankiermaschine bzw: Postbearbeitungsmaschine Oder Computer mit 
Postbearbeitungsfunktion geeignet. 

Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte 
Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitale 
Druckvorrichtung ein. Damit ist es prinzipiell moglich, beliebige Texte und 
Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder 
ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat 
zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikro- 
prozessor, welcher von einem gesicherten Gehause umgeben ist, das 
eine Offnung fur die Zufuhrung eines Briefes aufweist. Bei einer Brief- 
zufuhrung ubermittelt ein mechanischer Briefsensor (Mikroschalter) ein 



Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck 
beinhaltet eine zuvor eingegebene und gespeicherte postalische Informa- 
tion zur Beforderung des Briefes. Die Steuereinheit der Frankiermaschine 
nimmt eine Abrechnung softwaremaliig vor, Qbt eine Uberwachungs- 
funktion ggf. bezuglich der Bedingungen fur eine Datenaktualisierung aus 
und steuert das Nachladen eines Portwertguthabens. 

Fur die oben genannte Thermotransfer-Frankiermaschine wurde bereits in 
US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Daten- 
eingabemoglichkeit mitteis Chipkarten vorgeschlagen. Eine der 
Chipkarten ladt neue Daten in die Frankiermaschine und ein Satz an 
weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine 
Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das 
Datenladen und die Einstellung der Frankiermaschine kann damit 
bequemer und schneller als per Tastatureingabe erfolgen. Eine 
Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum 
Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum 
Steuern des Druckens und der peripheren Komponenten der 
Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von 
Postgebuhren, mit mindestens einem nichtfluchtigen Speicher zum 
Speichern von Postgebuhrendaten, mit mindestens einem nichtfluchtigen 
Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer 
Kalender/Uhr ausgestattet. Der nichtfluchtige Speicher der sicherheits- 
relevanten Daten und/oder die Kalender/Uhr wird gewohnlich von einer 
Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheits- 
relevante Daten (kryptografische Schlussel u.a.) in nichtfluchtigen 
Speichern gesichert. Diese Speicher sind EEPROM, FRAM Oder 
batteriegesicherte SRAM.. Bekannte Frankiermaschinen verfugen oft auch 
uber eine interne Echtzeituhr (Real Time Clock) RTC, die von einer 
Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die 
integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module 
mussen nach Ablauf der Lebensdauer der Batterie im Ganzen 
ausgetauscht und entsorgt werden. Aus wirtschaftlichen und okologischen 
Gesichtspunkten ist es gunstiger, wenn nur die Batterie ausgetauscht 
werden muft. Dazu muft jedoch das Sicherheitsgehause geoffnet und 
anschlieliend wieder verschlossen und gesiegelt werden, denn die 
Sicherheit gegenuber Betrugsversuchen beruht im Wesentlichen auf dem 
gesicherten Gehause, welches die gesamte Maschine umschlieflt. 
Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits 
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e.n geeignetes Verfahren zur Verbesserung der Sicherheit von 
Frank.ermaschinen vorgeschlagen, in welchem zwischen einem 
authonsierten und unauthorisierten Offnen des Sicherheitsgehauses 
unterschieden wird. 

Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann 
vor Ort nur schwer moglich, wenn der Zugang zu den Bauteiien erschwert 
Oder eingeschrankt ist. Bei gro&eren Postverarbeitungsmaschinen oder 
sogenannten PC-Frankierern wird zukunftig das gesicherte Gehause auf 
das sogenannte postalische Sicherheitsmodul reduziert werden, was die 
Zuganglichkeit zu den ubrigen Bauteiien verbessern kann.Zum wirtschaft- 
lichen Austauschen der Batterie des Sicherheitsmoduls ware es auGer- 
dem wunschenswert, da* sich diese auf relativ einfachem Wege aus- 
wechseln BBt Dazu muB sich die Batterie auGerhalb des Sicherheits- 
bere,chs der Frankiermaschine befinden. Wenn die Batterieklemmen aber 
von auGen zuganglich gemacht werden, ist ein moglicher Angreifer in der 
Lege d.e Batteriespannung zu manipulieren. Bekannte batteriegespeiste 
SRAM und RTC haben bzgl. ihrer geforderten Betriebsspannung unter- 
schiedliche Anforderungen. Die notwendige Spannung zum Halten von 
Daten von SRAM liegt unterhalb der geforderten Spannung zum Betrieb 
von RTC. Daa bedeutet, daG ein Verringern der Spannung unter einen 
best.mmten Grenzwert zu einem unerwunschten Verhalten der Kompo- 
nenten fuhrt: Die RTC bleibt stehen, die Uhrzeit - gespeichert in SRAM- 
Zellen - und die Speicherinhalte des SRAM bleiben erhalten. Wenigstens 
e.ne der Sicherheitsmafinahmen, beispielsweise Long Time Watchdogs 
waren dann auf der Frankiermaschinenseite unwirksam. Unter Long Time 
Watchdogs wird folgendes verstanden: Die entfernte Datenzentrale gibt 
e.nen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von 
Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die Frankier- 
emnchtung per Kommunikationsverbindung melden kann. Nach erfolg- 
osen Ablauf des Zeitkredits oder der Frist wird das Frankieren verhindert 
Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Uber- 
prufung e.nes Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 
(US 5,680,463) ein Verfahren vorgeschlagen, die voraussichtliche Zeit- 
dauer bis zur nachsten Guthabennachladung zu ermitteln, wobei seitens 
einer Datenzentrale diejenige Frankiermaschine ais suspekt gilt welche 
sich n.cht fristgemaS meldet. Suspekte Frankiermaschinen werden der 
Postbehdrde mitgeteilt, welche den Poststrom nach von suspekten Fran- 
k.ermaschinen frankierten Briefen uberwacht. Ein Ablauf des Zeitkredits 



oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt und 
der Benutzer wird aufgefordert die uberfallige Kommunikation 
durchzufuhren. 

Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen 
her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische 
Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche 
Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel 
im Gehause umfa&t. Das Abschirmmittel besteht aus Einkapselungs- 
material und Leitungsmitteln, an welchen die Stromversorgungs- und 
Signalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine 
Veranderung des Leitungswiderstandes des Leitungsmittels. Aulierdem 
enthalt das Sicherheitsmodul eine interne Batterie, einen Spannungs- 
umschalter von Systemspannung auf Batteriespannung, ein Power Gate 
und einen KurzschluBtransistor sowie weitere Sensoren. Wenn die 
Spannung eine bestimmte Grenze unterschreitet, reagiert das Power 
Gate. Wenn der Leitungswiderstand, die Temperatur oder die Strahlung 
verandert ist, reagiert die Logik. Mittels des Power Gate oder mittels der 
Logik wird der Ausgang des Kurzschlulitransistor auf L-Pegel umge- 
schaltet, wodurch ein im Speicher gespeicherter kryptographischer 
Schlussel geloscht wird. Jedoch ist die Lebensdauer der nicht aus- 
wechselbaren Batterie und damit des Sicherheitsmoduls fur den Einsatz 
in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein. 

Eine groBere Postverarbeitungsmaschine ist beispielsweise die JetMail®. 
Ein Frankierdruck wird hier mittels einem stationar angeordneten 
Tintenstrahldruckkopf bei einem nichtwaagerechten annahernd vertikalen 
Brieftransport erzeugt. Eine geeignete Ausfuhrung fur eine 
Druckvorrichtung wurde bereits in der DE 196 05 015 C1 vorgeschlagen. 
Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soil das 
Meter mit einem Gehause ausgestattet werden, so daB Bauteile leichter 
zuganglich sind, dann mud es durch ein postalisches Sicherheitsmodul 
vor Betrugsversuchen geschutzt werden, welches mindestens das Ab- 
rechnen der Postgebuhren durchfuhrt. Urn Einflusse auf den Programm- 
verlauf auszuschlielien, wurde bereits in der EP 789 333 A2 unter dem 
Titel: Frankiermaschine vorgeschlagen, ein Sicherheitsmodul mit einer 
Anwenderschaltung (Application Specific Integrated Circuit) ASIC auszu- 
statten, die eine Hardware-Abrecheneinheit aufweist. Die Anwender- 
schaltung steuert aulierdem die Druckdatenubertragung zum Druckkopf. 
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Letzteres ware nur dann nicht erforderlich, wenn fur jedes Poststuck 
einzigartige Abdrucke erzeugt werden. Ein geeignetes Verfahren und 
Anordnung zur Erzeugung und Uberprufung eines Sicherheitsabdruckes 
ist beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 
5 vorgeschlagen worden. Dabei wird eine spezielle Sicherheitsmarkierung 
elektronisch generiert und in das Druckbild eingebettet. 

Weitere MaBnahmen zum Schutz eines Sicherheitsmodul vor einem 
Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht 

10 vorveroffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 
571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der 
Stromverbrauch und ein nicht standig von einer Systemspannung 
versorgter Sicherheitsmodul zieht dann den fur die Sensoren benotigten 
Strom aus seiner internen Batterie, was letztere ebenfalls fruhzeitig er- 

15 schopft. Die Kapazitat der Batterie und der Stromverbrauch beschranken 
somit die Lebensdauer eines Sicherheitsmoduls. 

Frankiermaschinen sind wie viele andere Produkte ebenfalls modular 
aufgebaut. Diese Modularitat ermoglicht den Austausch von Modulen und 

20 Komponenten aus verschiedenen Grunden. So konnen z.B. defekte 
Module ausgetauscht und durch uberprufte, reparierte Oder neue Module 
ersetzt werden. Da eine hochste Sorgsamkeit beim Austausch von 
Baugruppen erforderlich ist, die sicherheitsrelevante Daten enthalten, 
erfordert der Austausch in der Regel den Einsatz eines Service 

25 Technikers und MalJnahmen, die bei unsachgemafcem Gebrauch bzw. 
unauthorisierten Austausch eines Sicherheitsmoduls dessen Funktions- 
weise unterbinden. Letzteres ist aber sehr aufwendig. 

Der Erfindung liegt die Aufgabe zugrunde, mit geringem Aufwand den 
30 Schutz vor einem unbefugt manipulierten Sicherheitsmodul zu gewahr- 
leisten, wenn das Sicherheitsmodul austauschbar angeordnet ist. Der 
Austausch soil von jederman auf moglichst einfache Weise moglich sein. 

Die Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 
35 und mit den Merkmalen der Anordnung nach Anspruch 3 gelost. 

Die Erfindung geht davon aus, mittels Funktionseinheiten den Austausch 
und Gebrauch eines Sicherheitsmoduls einer Frankiermaschine, 
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Postverarbeitungseinrichtung oder ahnlichen Gerates festzustellen, urn 
den Benutzern der verschiedenen Gerate eine Gewahrleistung uber die 
korrekte Funktionsweise des Sicherheitsmoduls und damit des gesamten 
Gerates bieten zu konnen. Ein Austausch eines Sicherheitsmoduls wird 

5 mindestens detektiert und ggf. nachtraglich als Zustand signalisiert, wenn 
der Sicherheitsmodul wieder gesteckt ist und mit einer Systemspannung 
versorgt wird. Die Veranderungen des Zustandes des Sicherheitsmoduls 
werden mittels einer ersten Funktionseinheit und mittels einer von einer 
Batterie versorgten Detektionseinheit erfafct, welche eine rucksetzbare 

10 Selbsthaltung aufweist. Die erste Funktionseinheit kann den jeweiligen 
Zustand auswerten, wenn sie wieder mit Systemspannung versorgt wird. 
Die Vorteile liegen in einer schnellen Reaktion auf Veranderungen des 
Zustandes des Sicherheitsmoduls und in einem geringem Batteriestrom- 
verbrauch der Schaltung der Detektionseinheit wahrend der 

15 Nichtversorgung des Sicherheitsmoduls mit der Systemspannung. 

Es ist mindestens vom unsachgema&em Gebrauch eines Sicherheits- 
moduls bei jedem Austausch auszugehen, bei welchen nicht nur die 
Systemspannung fehlt, sondern auch die austauschbar angeordnete 

20 Batterie entfernt wird. Damit der Austausch von moglichst gering 
qualifiziertem Personal und in Zukunft gar durch den Benutzer ausgefuhrt 
werden kann, ubernimmt eine weitere Funktionseinheit die Uberwachung 
auf Spannungsausfall beim Austausch der Batterie, wobei die erste 
Funktionseinheit zunachst sensitive Daten loscht und damit den weiteren 

25 Gebrauch des Sicherheitsmoduls einschrankt oder gar unterbindet. Die 
erste Funktionseinheit erzwingt bei einer spateren Wiedehnbetriebnahme 
eine Kontaktaufnahme des Sicherheitsmoduls mit einer entfernten 
Datenzentrale zum Freischalten mindestens einer Funktionseinheit. Falls 
der Sicherheitsmodul sachgemaS ausgetauscht wurde, werden bei der 

30 Wiederinbetriebnahme die sensitiven Daten reinitialisiert. Zur Kontaktauf- 
nahme sind Verfahren mit einer digitalen oder analogen Ubertragungs- 
strecke einsetzbar. Das Verfahren zum Schutz eines Sicherheitsmoduls 
beinhaltet die folgenden Schritte: 

• Uberwachung des sachgemaSen Gebrauchs oder Austausches des 
35 Sicherheitsmoduls mittels einer ersten, zweiten und dritten 

Funktionseinheit, 

• Loschen von sensitiven Daten aufgrund eines unsachgemafien 
Gebrauchs oder Austausches mindestens mittels der zweiten 
Funktionseinheit, 



• Sperren der Funktionalitat mittels der dritten Funktionseinheit wahrend 
eines Austausches des Sicherheitsmoduls, 

• Reinitialisieren mittels der ersten Funktionseinheit von zuvor 
geloschten sensitiven Daten nach sachgemafiem Gebrauch oder 
Austausch des Sicherheitsmoduls, 

• Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des 
Sicherheitsmodules. 

Es ist vorgesehen, daS das Reinitialisieren in Verbindung mit einer Kom- 
munikation mittels einer entfernten Datenzentrale von der ersten Funk- 
tionseinheit vorgenommen wird, nachdem eine dynamische Gestecktsein- 
Detektion erfolgreich durchgefuhrt wurde, wobei wahrend der Detektion 
von der ersten Funktionseinheit uber eine Stromschleife der Interface- 
einheit Informationen ausgetauscht werden, deren fehlerfreie Ubermitt- 
lung den Beweis fur den sachgemalien Einbau des Sicherheitsmodules 
erbringt. Das Freischalten von Funktionseinheiten des Sicherheitsmodu- 
les erfolgt durch deren Rucksetzen. Die erste Funktionseinheit ist ein mit 
den anderen Funktionseinheiten verbundener Prozessor, welcher pro- 
grammiert ist, den jeweiligen Zustand festzustellen. Die zweite Funktions- 
einheit ist eine Spannungsuberwachungseinheit mit rucksetzbarer 
Selbsthaltung und die dritte Funktionseinheit ist eine Ungestecktsein- 
Detektionsschaltung mit rucksetzbarer Selbsthaltung. 

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen 
gekennzeichnet bzw. werden nachstehend zusammen mit der 
Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren naher dargestellt. Es zeigen: 

Figur 1, Blockbild und Interface des Sicherheitsmoduls, 

Figur 2, Blockschaltbild der Frankiermaschine, 

Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten, 

Figur 4, Blockschaltbild des Sicherheitsmoduls (zweite Variante), 

Figur 5, Schaltbild der Detektionseinheit, 



Figur 6, Seitenansicht des Sicherheitsmoduls, 
Figur 7, Draufsicht auf das Sicherheitsmodul, 
Figur 8a, Ansicht des Sicherheitsmoduls von rechts, 
Figur 8b, Ansicht des Sicherheitsmoduls von links. 

In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den 
Kontaktgruppen 101, 102 zum Anschluli an ein Interface 8 sowie mit den 
Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces fur eine 
Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer 
harten Verguftmasse vergossen ist, ist die Batterie 134 des 
Sicherheitsmoduls 100 auGerhcJb der VerguSmasse auf einer Leiterpiatte 
auswechselbar angeordnet. Die Leiterpiatte tragt die Batteriekontakt- 
klemmen 103 und 104 fur den Anschluli der Pole der Batterie 134. Mittels 
der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein 
entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt. 
Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuer- 
einrichtung in Kommunikationsverbindung und die zweite Kontaktgruppe 
102 dient der Versorgung des Sicherheitsmoduls 100 mit der System- 
spannung. Uber die Pins P3.P5-P19 der Kontaktgruppe 101 laufen AdreS- 
und Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste 
und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen 
und dynamischen Uberwachung des Angesteckiseins des Sicherheits- 
moduls 100 ausgebildet. Uber die Pins P23 und P25 der Kontaktgruppe 
102 wird die Versorgung des Sicherheitsmodul 100 mit der System- 
spannung der Hauptplatine 9 realisiert und uber die Pins P1, P2 bzw. P4 
wird eine dynamische und statische Ungestecktsein-Detektion durch das 
Sicherheitsmodul 100 realisiert. 

Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen 
Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten 
Festwertspeicher (internal ROM) mit dem speziellen Anwendungs- 
programm enthalt, was fur die Frankiermaschine von der Postbehorde 
bzw. vom jeweiligen Postbeforderer zugelassen ist. Alternativ kann an 
den internen Datenbus 126 ein ublicher Festwertspeicher ROM Oder 
FLASH-Speicher angeschlossen werden. 
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Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset- 
Schaltungseinheit 130, einen Anwenderschaltkreis ASIC 150 und eine 
Logik PAL 160 auf, die fur den ASIC als Steuersignalgenerator dient. Die 
Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und 

5 die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher 
werden uber die Leitungen 191 bzw. 129 mit Systemspannung Us+ 
versorgt, welche bei eingeschalteter Frankiereinrichtung von der Haupt- 
platine 9 geliefert wird. In der EP 789 333 A2 wurden bereits die wesent- 
lichen Teile eines postalischen Sicherheitsmoduls PSM erlautert, die die 

10 Funktionen Abrechnen und Absichern der Postgebuhrendaten realisieren. 

Die Systemspannung Us+ liegt aufterdem uber eine Diode 181 und die 
Leitung 136 am Eingang der Spannungsuberwachungseinheit 12 an. Am 
Ausgang der Spannungsuberwachungseinheit 12 wird eine zweite Be- 
triebsspannung Ub+ geliefert, welche uber die Leitung 138 zur Verfugung 
steht. ^ Bei ausgeschalteter Frankiereinrichtung steht nicht die System- 
spannung Us+, sondern nur die Batteriespannung Ub+ zur Verfugung. Die 
am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse ver- 
bunden. Von der am positiven Pol liegenden Batteriekontaktklemme 103 
wird Batteriespannung uber eine Leitung 193, uber eine zweite Diode 182 
und die Leitung 136 an den Eingang der Spannungsuberwachungseinheit 
geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handels- 
ublicher Schaltkreis als Spannungsumschalter 180 eingesetzt werden. 

Der Ausgang der Spannungsuberwachungseinheit 12 ist uber eine 
Leitung 138 mit einem Eingang fur diese zweite Betriebsspannung Ub* 
des Prozessors 120 verbunden, welcher mindestens auf einen RAM- 
Speicherbereich 122, 124 fuhrt und dort eine nichtfluchtige Speicherung 
solange garantiert, wie die zweite Betriebsspannung U b + in der 
erforderlichen Hohe anliegt. Der Prozessor 120 enthalt vorzugsweise 
einen internen RAM 124 und eine Echtzeituhr (RTC) 122. 

Die Spannungsuberwachungseinheit 12 im Sicherheitsmodul weist eine 
rucksetzbare Selbsthaltung auf, die vom Prozessor 120 uber eine Leitung 
35 164 abgefragt und uber eine Leitung 135 zuruckgesetzt werden kann. Fur 
eine Rucksetzung der Selbsthaltung weist die Spannungsuberwachungs- 
einheit 12 Schaltungsmittel auf. Die Rucksetzung ist erst auslosbar, wenn 
die Batteriespannung uber die vorbestimmte Schwelle angestiegen ist. 
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Die Leitungen 135 and 164 sind je mit einem Pin (Pin1 und 2) des 
Prozessors 120 verbunden. Die Leitung 164 iiefert ein Statussignal an 
den Prozessor 120 und die Leitung 135 Iiefert ein Steuersignal an die 
Spannungsuberwachungseinheit 12. 

5 

Die Leitung 136 am Eingang der Spannungsuberwachungseinheit 12 
versorgt zugleich eine Ungestecktsein-Detektionseinheit 13 mit Betriebs- 
oder Batteriespannung. Die Ungestecktsein-Detektionseinheit 13 gibt auf 
der Leitung 139 ein Statussignal an einen Pin 5 des Prozessors 120 ab, 

10 das eine Aussage uber den Zustand der Schaltung gibt. Vom Prozessor 
120 wird der Zustand der Ungestecktsein-Detektionseinheit 13 uber die 
Leitung 139 abgefragt. Der Prozessor kann mit einem vom Pin 4 des 
Prozessors 120 uber die Leitung 137 abgegebenen Signal die Unge- 
stecktsein-Detektionseinheit 13 zurucksetzen. Nach dem Setzen wird eine 

15 statische Prufung auf AnschluB durchgefuhrt. Dazu wird uber eine Leitung 
192 Massepotential abgefragt, welches am Anschlufc P4 des Interfaces 8 
des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar 
ist, wenn der Sicherheitsmodul 100 ordnungsgemafc gesteckt ist. Bei 
gesteckten Sicherheitsmodul 100 wird Massepotential des negativen Pols 

20 104 der Battehe 134 des postalischen Sicherheitsmoduls PSM 100 auf 
den AnschlufJ P23 des Interfaces 8 gelegt und ist somit am AnschlufS P4 
des Interfaces 8 uber die Leitung 192 von der Ungestecktsein-Detektions- 
einheit 13 abfragbar. 

A,. 

An den Pins 6 und 7 des Prozessors 120 iiegt eine Leitungsschleife, 
welche uber die Pins PT und P2 der Kontaktgruppe 102 des Interfaces 8 
zum Prozessor 120 zuruckgeschleift wird. Zur dynamischen Prufung des 
Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der 
Hauptplatine 9 werden vom Prozessor 120 wechselnde Signalpegel in 
ganz unregelmafJigen Zeitabstanden an die Pin's 6, 7 angelegt und uber 
die Schleife zuruckgeschleift. 

Das postalische Sicherheitsmodul PSM 100 ist mit einer Long-Live- 
Batterie bestuckt, welches auch eine Uberwachung des Gebrauchs 
35 ermoglicht, ohne das das Sicherheitsmodul an einer Systemspannung 
eines Postverabeitungseinrichtung Iiegt. Der sachgemade Gebrauch, 
Betrieb, Installation oder Einbau in der geeigneten Umgebung sind solche 
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von den Funktionseinheiten des Sicherheitsmoduls zu prufende 
Eigenschaften. Eine Erstinstallation wird vom Hersteller des postaiischen 
Sicherheitsmoduls vorgenommen. Es ist also nach dieser Erstinstallation 
zunachst lediglich zu prufen, ob das postalische Sicherheitsmodul von 
ihrem Einsatzfeld (Postverabeitungseinrichtung) getrennt wird, wobei dies 
in der Regel bei einem Austausch erfolgt. 

Die Uberwachung dieses Zustandes wird von der Ungestecktsein- 
Detektionseinheit 13 vorgenommen. Hierbei wird uber die Massever- 
bindung am Pin 4 der Interfaceeinheit 8 ein Spannungspegel uberwacht. 
Beim Austausch der Funktionseinheit wird diese Masseverbindung unter- 
brochen und die Ungestecktsein-Detektionseinheit 13 registriert diesen 
Vorgang als Information. Da fur jede Trennung des Sicherheitsmoduls 
100 von der Interfaceeinheit 8, die Speicherung dieser Information durch 
den speziellen batteriegetriebenen Schaltungsaufbau gewahrieistet ist, 
kann eine Auswertung dieser Information zu jeder Zeit erfolgen, falls eine 
Wiederinbetriebnahme gewunscht ist. Die regelma&ige Auswertung 
dieses Ungestecktsein-Signals auf der Leitung 139 der Ungestecktsein- 
Detektionseinheit 13 ermoglicht es dem Prozessor 120 sensitive Daten zu 
loschen, ohne jedoch damit die Abrechnungs- und Kundendaten in den 
NVRAM-Speichern zu verandern. Der momentane Zustand des postaii- 
schen Sicherheitsmoduls mit den geloschten sensitiven Daten kann als 
Wartungszustand aufgefalit werden, in welchem in der Regel der Aus- 
tausch, eine Reparatur oder sonstiges vorgenommen wird. Da die sensi- 
tiven Daten der Funktionseinheit geloscht sind, ist ein Fehler aufgrund 
einer unsachgemaften Handhabung des postaiischen Sicherheitsmoduls 
ausgeschlossen. Die sensitiven Daten sind beispielsweise kryptographi- 
sche Schlussel. Der Prozessor 120 verhindert im Wartungszustand eine 
Kernfunktionalitat des postaiischen Sicherheitsmoduls, welche beispiel- 
weise in der Abrechnung und/oder Berechnung eines Sicherheitscodes 
fur die Sicherheitsmarkierung in einem Sicherheitsabdruck besteht. 

Zur Wiederinbetriebnahme wird das postalische Sicherheitsmodul PSM 
zunachst gesteckt und elektrisch mit der entsprechenden. Interfaceeinheit 
8 eines Postbearbeitungsgerates verbunden. AnschlieHend wird das 
Gerat eingeschaltet und somit das postalische Sicherheitsmodul wieder 
mit Systemspannung Us+ versorgt. Aufgrund des speziellen Zustandes 
mu(i nun der sachgemaUe Ei.ibau des postaiischen Sicherheitsmoduls 
durch ihre Funktionseinheit erneut gepruft werden. Hierfur wird eine 
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zweite Stufe einer Prufung (dynarnische Gestecktsein-Detektion) vorge- 
sehen. Uber eine zwischen der ersten Funktionseinheit (Prozessor 120) 
und der Stromschleife 18 der Interfaceeinheit 8 hergestellten operative 
Verbindung werden Informationen ausgetauscht, deren fehlerfreie 
5 Ubermittlung den Beweis fur den sachgemaften Einbau erbringt. Dies ist 
Voraussetzung fur eine erfolgreiche Wiederinbetriebnahme. 

Fur den Zustandswechsel in den normalen Betriebszustand ist nun noch 
eine Reinitialisierung der sensitiven Daten erforderiich. Zwischen dem 
postalischen Sicherheitsmodul und einer dritten Instanz wird eine 
10 Kommunikation vorgenommen, wobei letztere diese sensitiven Daten 
ubermittelt.. Nach erfolgreicher Ubermittlung wird die Ungestecktsein- 
Detektionseinheit 13 zuruckgesetzt und das pcstalische Sicherheitsmodul 
nimmt wieder seinen normalen Betriebszustand ein. Die Wiederinbetrieb- 
nahme ist abgeschlossen. 

15 

Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit 
einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Anderungs- 
daten per Chipkarte und mit einer Druckeinrichtung 2, welche von einer 
Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung 
20 1 weist ein mit einem Mikroprozessor 91 mit zugehorigen Speichern 92, 
93, 94, 95 ausgestattetes Motherboard 9 auf. 

Der Programmspeicher 92 enthalt ein Betriebsprogramm mindestens zum 
Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro- 
25 gramms fur eine vorbestimmte Format-Anderung eines Teils der 
Nutzdaten. 

Der Arbeitsspeicher RAM 93 dient zur fluchtigen Zwischenspeicherung 
von Zwischenergebnissen. Der nichtfluchtige Speicher NVM 94 dient zur 
nichtfluchtigen Zwischenspeicherung von Daten, beispielsweise von 

30 statistischen Daten, die nach Kostenstellen geordnet sind. Der 
Kalender/Uhrenbaustein 95 enthalt ebenfalls adressierbare aber nicht- 
fluchtige Speicherbereiche zur nichtfluchtigen Zwischenspeicherung von 
Zwischenergebnissen oder auch bekannten Programmteilen (beispiels- 
weise fur den DES-Algorithmus). Es ist vorgesehen, daft die Steuer- 

35 einrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist, 
wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu 
programmiert ist, die Nutzdaten N aus dem Speicherbereich einer 
Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche 
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der Frankiermaschine zu iaden. Eine in einen Einsteckschlitz 72 der 
Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 
gestattet ein Nachladen eines Datensatzes in die Frankiermaschine fur 
mindestens eine Anwendung. Die Chipkarte 49 enthalt beispielsweise die 
5 - Portogebuhren fur alle ublichen Postbefordererleistungen entsprechend 
des Tarifs der Postbehorde und ein Postbefordererkennzeichen, urn mit 
der Frankiermaschine ein Stempelbild zugenerieren und entsprechend 
des Tarifs der Postbehorde die Poststucke freizustempeln. 

10 Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 
95 der vorgenannten Hauptplatine 9 und umfalit auch eine Tastatur 88, 
eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaitkreis 
ASIC 90 und das Interface 8 fur das postalische Sicherheitsmodul PSM 
100. Das Sicherheitsmodul PSM 100 ist uber einen Steuerbus mit dem 

15 vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie uber den 
parallelen pC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 
9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus fuhrt 
Leitungen fur die Signale CE, RD und WR zwischen dem Sicherheits- 
modul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 

20 weist vorzugsweise einen Pin fur ein vom Sicherheitsmodul PSM 100 
abgegebenes Interruptsignal i, weitere Anschlusse fur die Tastatur 88, 
eine serielle Schnittstelle SI-1 fur den AnschlufJ der Chipkarten- 
Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 fur den 
optionalen Anschluft eines MODEMs auf. Mittels des MODEMs kann 

25 beispielsweise das im nichtfluchtigen Speicher des postalischen 
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhoht werden. 

Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten 
Gehause umschlossen. Vor jedem Frankierabdruck wird im postalischen 
so Sicherheitsmodul PSM 100 eine hardwaremaftige Abrechnung durchge- 
fuhrt. Die Abrechnung erfolgt unabhangig von Kostenstellen. Das postali- 
sche Sicherheitsmittel PSM 100 kann intern so ausgefuhrt sein, wie in der 
europaischen Anmeldung EP 789 333 A3 naher beschrieben wurde. 

35 Es ist vorgesehen, daB der ASIC 90 eine serielle Schnittstellenschaltung 
98 zu einem im Poststrom vorschalteten Gerat, eine serielle 
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der 
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur 
Drucksteuerelektronik 16 fur den Druckkopf 4 und eine serielle 
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Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im 
Poststrom nachgeschalteten Gerat aufweist. Der DE 197 11 997 ist eine 
Ausfuhrungsvariante fur die Peripherieschnittstelle entnehmbar, welche 
fur mehrere Peripheriegerate (Stationen) geeignet ist. Sie tragt den Titel: 
5 Anordnung zur Kommunikation zwischen einer Basisstation und weiteren 
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung. 

Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis 
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung 

10 zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum 
Antriebsmotor 15 fur die Walze 11 und zu einer Reinigungs- und 
Dichtstation RDS 40 fur den Tintenstrahldruckkopf 4, sowie zum 
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und 
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 

15 sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur 
Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und 
Dichtvorrichtung. 

Einer der in der Fuhrungsplatte 20 angeordneten Sensoren 7, 17 ist der 
Sensor 17 und dient zur Vorbereitung der Druckauslosung beim Brief- 

20 transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck- 
auslosung beim Brieftransport. Die Transporteinrichtung besteht aus 
einem Transportband 1 0 und zwei Walzen 11,11'. Eine der Walzen ist die 
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die 
mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 1 1 als 

25 Zahnwalze ausgefuhrt, entsprechend ist auch das Transportband 1 0 als 
Zahnriemen ausgefuhrt, was die eindeutige Kraftubertragung sichert. Ein 
Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise 
sitzt die Antriebswalze 11 mit einem Inkrementalgeber 5 fest auf einer 
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe 

30 ausgefuhrt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt uber 
die Leitung 19 ein Encodersignal an die Hauptplatine 9 ab. 
Es ist vorgesehen, dali die einzelnen Druckelemente des Druckkopfes 
innerhalb seines Gehauses mit einer Druckkopfelektronik verbunden sind 
und dali der Druckkopf fur einen rein elektronischen Druck ansteuerbar 

35 ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der 
gewahlte Stempelversatz berucksichtigt wird, welcher per Tastatur 88 
oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 
nichtfluchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus 
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls 
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weiteren Druckbildern fur Werbeklischee, Versandinformationen (Wahl- 
drucke) und zusatzlichen editierbaren Mitteilungen. Der nichtfluchtige 
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter 
sind solche, welche die geladenen Portogebuhrentabellen nichtfluchtig 
5 speichern. 

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehorigen 
mechanischen Trager fur die Mikroprozessorkarte und Kon-taktiereinheit 
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte 
in Lese-Position und eindeutige Signalisierung des Erreichens der 

10 Leseposition der Chipkarte in der Kontaktierungseinheit. Die 
Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einpro- 
grammierte Lesefahigkeit fur alle Arten von Speicherkarten bzw. Chip- 
karten. Das Interface zur FM ist eine serielle Schnittstelle gemali RS232- 
Standard. Die Datenubertragungsrate betragt min. 1,2 K Baud. Das 

15 Einschalten der Stromversorgung erfolgt mittels einem an der Haupt- 
platine angeschlossenen Schalter 71. Nach Einschalten der Stromver- 
sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung. 

In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von 
20 hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und 
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 
ausgestattet, die hinter der Fuhrungsplatte 20 angeordnet und von der 
Gehauseoberkante 22 zuganglich ist. Nach dem Einschalten der Frankier- 
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach 
25 unten in den Einsteckschlitz 72 eingesteckt. Ein zugefuhrter auf der Kante 
stehender Brief 3, der mit seiner zu bedruckenden Oberflache an der 
Fuhrungsplatte anliegt, wird dann entsprechend der Eingabedaten mit 
einem Frankierstempel 31 bedruckt. Die Briefzufuhroffnung wird durch 
eine Klarsichtplatte 21 und die Fuhrungsplatte 20 seitlich begrenzt. Die 
30 Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten 
Sicherheitsmoduls 100 ist von aulien durch eine Offnung 109 sichtbar. 

Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls 
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 
35 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der 
positive Pol der Batterie 134 ist uber die Leitung 193 mit dem einen 
Eingang des Spannungsumschalters 180 und die Systemspannung 
fuhrende Leitung 191 ist mit dem anderen Eingang des Spannungs- 
umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 
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389/P fur eine Lebensdauer bis zu 3,5 Jahren ocler der Typ SL-386/P fur 
eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch 
durch das PSM 100. Als Spannungsumschalter 180 kann ein 
handelsublicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. 
5 Der Ausgang des Spannungsumschalters 180 liegt uber die Leitung 136 
an der Batterieuberwachungseinheit 12 und der Detektionseinheit 13 an. 
Die Batterieuberwachungseinheit 12 und die Detektionseinheit 13 stehen 
mit den Pins 1, 2, 4 und 5 des Prozessors 120 uber die Leitungen 135, 
164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des 
10 Spannungsumschalters 180 liegt uber die Leitung 136 aulierdem am 
Versorgungseingang eines ersten Speichers SRAM an, der durch die 
vorhandene Batterie 134 zum nichtfluchtigen Speicher NVRAM einer 
ersten Technologie wird. 

Das Sicherheitsmodul steht mit der Frankiermaschine uber den 
15 Systembus 115,117, 118 in Verbindung. Der Prozessor 120 kann uber 
den Systembus und ein Modem 83 in Kommunikationsverbindung mit 
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 
150 vollzogen und vom Prozessor 120 uberpruft. Die postalischen 
Abrechnungsdaten werden in nichtfluchtigen Speichern unterschiedlicher 
20 Technologie gespeichert. 

Die Systemspannung liegt am Versorgungseingang eines zweiten 
Speichers NV-RAM 114 an. Bei letzterem handelt es sich urn einen 
nichtfluchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW- 
RAM). Diese zweiten Technologie umfalit vorzugsweise ein RAM und ein 
25 EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall 
automatisch ubernimmt. Der NVRAM 114 der zweiten Technologie ist mit 
den entsprechenden Adress- und Dateneingangen des ASIC's 150 uber 
einen internen Adreli- und Datenbus 112, 113 verbunden. 

30 Der ASIC 150 enthalt mindestens eine Hardware-Abrecheneinheit fur die 
Berechnung der zu speichernden postalischen Daten. In der 
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. 
Ein AdrefS- und Steuerbus 117, 115 von der Hauptplatine 9 ist an 

35 entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 
erzeugt mindestens ein Steuersignal fur das ASIC 150 und ein 
Steuersignal 119 fur den Programmspeicher FLASH 128. Der Prozessor 
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der 
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind uber einen 
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modulinternen Systembus miteinander verbunden, der Leitungen 
1 1 0, 1 1 1 , 1 26, 1 1 9 fur Daten-, AdrelX- und Steuersignale enthalt. 
Der Prozessor 120 des Sicherheitsmoduls 100 ist uber einen modul- 
internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 
5 verbunden. Der FLASH 128 wird mit Systemspannung Us+ versorgt. Er ist 
beispielsweise ein 128 Kbyte- FLASH-Speicher vom Typ AM29F010- 
45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert uber 
einen modulinternen Adre&bus 110 die Adressen 0 bis 7 an die 
entsprechenden AdreBeingange des FLASH 128. Der Prozessor 120 des 

10 Sicherheitsmoduls 100 liefert uber einen internen Adre&bus 111 die 
Adressen 8 bis 15 an die entsprechenden Adresseingange des FLASH 
128. Der ASIC 150 des Sicherheitsmoduls 100 steht uber die 
Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem 
AdreBbus 117 und dem Steuerbus 115 des Motherbords 9 in 

15 Kommunikationsverbindung. 

Es ist yorgesehen, dafJ der Prozessor 120 Speicher 122, 124 aufweist, an 
welche uber die Leitung 138 eine Betriebsspannung Ub+ von einer 
Spannungsuberwachungseinheit 12 zugefuhrt wird. Insbesondere eine 

20 Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer 
Betriebsspannung uber die Leitung 138 versorgt. Die Spannungsuber- 
wachungseinheit (Battery Observer) 12 liefert auBerdem ein Statussignal 
164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 
gibt als Ausgangsspannung auf der Leitung 136 fur den Battery Observer 

25 12 und Speicher 116 diejenige seiner Eingangsspannungen als 
Versorgungsspannung weiter, die groBer als die andere ist. Durch die 
Moglichkeit, die beschriebene Schaltung in Abhangigkeit von der Hohe 
der Spannungen Us+ und Ub+ automatisch mit der grofceren von beiden 
zu speisen, kann wahrend des Normalbetriebs die Batterie 134 ohne 

30 Datenverlust gewechselt werden. 

Die Batterie 134 des Sicherheitsmoduls 100 speist in den Ruhezeiten 
auderhalb des Normalbetriebes in vorerwahnter Weise die Echtzeituhr 
(RTC) 122 mit Datums uncl/oder Uhrzeitregistern und/oder den statischen 
35 RAM (SRAM) 124, der sicherheitsrelevante Daten halt. Sinkt die Span- 
nung der Batterie wahrend des Batteriebetriebs unter eine bestimmte 
Grenze, so wird von der Spannungsuberwachungseinheit 12 der Speise- 
punkt fur die RTC und SRAM bis zum Rucksetzen mit Masse verbunden. 
Die Spannung an der RTC und am SRAM liegt dann bei 0V. Das fuhrt 
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dazu, dafi der SRAM 124, der z.B. wichtige kryptografische Schlussel 
enthalt, sehr schnell geloscht wird. Gleichzeitig werden auch die Register 
der RTC 122 geloscht und die aktuelle Uhrzeit und das aktuelle Datum 
gehen verloren. Durch diese Aktion wird verhindert, daS ein moglicher 
Angreifer durch Manipulation der Batteriespannung die frankiermaschi- 
neninterne Uhr 122 anhalt, ohne daS sicherheitsrelevante Daten verloren 
gehen. Somit wird verhindert, dafc der Angreifer SicherheitsmaBnahmen, 
wie beispielsweise Long Time Watchdogs umgeht. 

Die RESET-Einheit 130 ist uber die Leitung 131 mit dem Pin 3 des 
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der 
Prozessor 120 und das ASIC 150 werden bei Absinken der 
Versorgungsspannung durch eine Resetgenerierung in der RESET- 
Einheit 130 zuruckgesetzt. 

Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt 
die bechriebene Schaltung in einen Selbsthaltezustand, in dem sie auch 
bei nachtraglicher Erhohung der Spannung bleibt. Beim nachsten 
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung 
abfragen (Statussignal) und damit uncl/oder uber die Auswertung der 
Inhalte des geloschten Speichers darauf schlie&en, da(X die 
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten 
hat. Der Prozessor kann die Uberwachungsschaltung zurucksetzen, d.h. 
"scharf ' machen. 

Die Ungestecktsein-Detektionseinheit 13 hat zur Messung der Eingangs- 
spannung eine Leitung 192, die uber den Stecker des Sicherheitsmoduls 
und Interface 8, vorzugsweise uber einen Sockel auf der Mutterplatine 9 
der Frankiermaschine mit Masse verbunden ist. Diese Messung dient zur 
statischen Uberwachung des Gesteckseins und bildet die Grundlage fur 
eine Uberwachung auf einer ersten Stufe. Es ist vorgesehen, daS die 
Ungestecktsein-Detektionseinheit 13 Schaltungsmittel fur eine rucksetz- 
bare Selbsthaltung aufweist, wobei die Selbsthaltung ausgelost wird, 
wenn der Spannungspegel auf einer Mefispannungsleitung 192 von 
einem vorbestimmten Potential abweicht. Zugleich umfalit die Auswerte- 
Logik den mit den anderen Funktionseinheiten verbundenen Prozessor 
120, welcher programmiert ist, den jeweiligen Zustand des Sicherheits- 
moduls 100 festzustellen und zu verandern. Der Zustand der 
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Selbsthaltung ist uber die Leitung 139 vom Prozessor 120 des 
Sicherheitsmoduls 100 abfragbar. Das MeSspannungspotential auf der 
Leitung 192 entspricht Massepotential, wenn der Sicherheitsmodul 100 
ordnungsgemaB gesteckt ist. Auf der Leitung 139 liegt Betriebsspan- 

5 nungspotential. Massespannungspotential liegt auf der Leitung 139 an, 
wenn der Sicherheitsmodul 100 ungesteckt ist. Der Prozessor 120 weist 
einen funften Pin5 auf, an welchem die Leitung 139 angeschlossen ist, 
um den Zustand der Ungestecktsein-Detektionseinheit 1 3 abzufragen, ob 
sie auf Massepotential mit Selbsthaltung geschaltet ist. Um den Zustand 

10 der Selbsthaltung der Ungestecktsein-Detektionseinheit 13 uber die 
Leitung 137 zuruckzusetzen, weist der Prozessor 120 einen vierten Pin 4 
auf. 

Weiterhin ist eine Stromschleife 18 vorgesehen, die die Pins 6 und 7 des 
15 Prozessors 120 ebenfalls uber den Stecker des Sicherheitsmoduls und 
uber den Sockel auf der Hauptplatine 9 der Frankiermaschine miteinander 
verbindet. Die Leitungen an den Pins 6 und 7 des Prozessors 120 sind 
nur bei einem an die Hauptplatine 9 gesteckten PSM 100 zu einer 
Stromschleife 18 geschlossen. Diese Schleife bildet die Grundlage fur 
20 eine dynamische Uberwachung des Angestecktseins des Sicherheits- 
moduls auf einer zweiten Stufe. 

Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine 
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 

25 125 auf. Der Prozessor 120 ist mit Pin's 8, 9 zur Ausgabe mindestens 
eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 
100 ausgestattet. An den Pins 8 und 9 liegen l/O-Ports der Ein/Ausgabe- 
Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, 
beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den 

30 Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule 
konnen in ihrem Lebenszyklus verschiedene Zustande einnehmen. So 
muB z.B. detektiert werden, ob das Modul gultige kryptografische 
Schlussel enthalt. Weiterhin ist es auch wichtig zu unterscheiden, ob das 
Modul funktioniert Oder defekt ist. Die genaue Art und Anzahl der 

35 Modulzustande ist von den realisierten Funktionen im Modul und von der 
Implementierung abhangig. 
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Anhand der Figur 5 wird das Schaltbild der Detektionseinheit 13 erlautert. 
Es ist vorgesehen, dad die Ungestecktsein-Detektionseinheit 13 einen 
Spannungsteiler aufweist, der aus einer Reihenschaltung von Widerstan- 
den 1310, 1312, 1314 besteht und zwischen einem von einem Konden- 
5 sator 1371 abgreifbaren Versorgungsspannungspotential und einem MeR- 
spannungspotential auf der Leitung 192 gelegt ist. Die Schaltung wird 
uber die Leitung 1 36 mit der System- oder Batteriespannung versorgt. Die 
jeweilige Versorgungsspannung von der Leitung 136 gelangt uber eine 
Diode 1369 auf den Kondensator 1371 der Schaltung. Ausgangsseitig der 

10 Schaltung liegt ein Negator 1320, 1398. Im Normalzustand ist der Tran- 
sistor 1320 des Negators gesperrt und die Versorgungsspannung wird 
uber den Widerstand 1398 auf der Leitung 139 wirksam, welche deshalb 
logisch T, d.h. H-Pegel im Normalzustand fuhrt. Ein L-Pegel auf der 
Leitung 139 ist vorteilhaft als Statussignal fur ein Ungestecktsein, weil 

15 dann in den Pin 5 des Prozessors 120 kein Strom hineinflielit, was die 
Batterielebensdauer erhoht. Die Diode 1369 sorgt vorzugsweise in Zu- 
sammenhang mit einem Elektrolytkondensator 1371 dafur, daB die dem 
Negator vorgeschaltete Schaltung uber einen relativ langen Zeitraum (> 2 
s) mit einer Spannung versorgt wird, bei der deren Funktion gewahrleistet 

20 ist, obwohl die Spannung auf der Leitung 1 36 bereits abgeschaltet wurde. 

Der Spannungsteiler 1310, 1312, 1314 weist einen Abgriff 1304 auf, an 
welchem ein Kondensator 1306 und der nichtinvertierende Eingang eines 
Komparators 1300 angeschlossen sind. Der invertierende Eingang des 
Komparators 1300 ist mit einer Referenzspannungsquelle 1302 verbun- 

25 den. Der Ausgang des Komparators 1300 ist einerseits uber den Negator 
1324,1398 mit der Leitung 139 und andererseits mit dem Steuereingang 
eines Schaltmittels 1322 fur die Selbsthaltung verbunden. Das Schaltmit- 
tel 1322 ist zum Widerstand 1310 des Spannungsteilers parallel geschal- 
tet und das Schaltmittel 1316 fur eine Rucksetzung der Selbsthaltung ist 

30 zwischen dem Abgriff 1 304 und Masse geschaltet. Der Abgriff 1 304 des 
Spannungsteilers liegt am Verbindungspunkt der Widerstande 1312 und 
1314. Der zwischen dem Abgriff 1304 und Masse geschaltete 
Kondensator 1306 verhindert Schwingungen. Die Spannung am Abgriff 
1304 des Spannungsteilers wird im Komparator 1300 mit der Referenz- 

35 spannung der Quelle 1302 verglichen. Ist die zu vergleichende Spannung 
am Abgriff 1304 kleiner als die Referenzspannung der Quelle 1302, so 
bleibt der Komparatorausgang auf L-Pegel geschaltet und der Transistor 
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1320 des Negators ist gesperrt. Dadurch erhalt die Leitung 139 nun 
Betriebsspannungspotential und das Statussignal fuhrt logisch '1'. Der 
Spannungsteiler ist so dimensioniert, daS bei Massepotential auf der 
Leitung 192 der Abgriff 1304 eine Spannung fuhrt, welche sicher unter- 
5 halb der Schaltschwelle des Komparators 1300 liegt. Wird die Verbindung 
unterbrochen und die Leitung 192 ist nicht mehr mit Masse verbunden, 
weil das Sicherheitsmodul 100 vom Sockel auf der Hauptplatine 9 bzw. 
Interfaceeinheit 8 der Frankiermaschine gelost wurde, so wird die 
Spannung am Abgriff 1 304 uber die Spannung der Referenzspannungs- 
10 quelle 1302 gezogen und der Komparator 1300 schaltet um. Der Kom- 
paratorausgang wird auf H-Pegel geschaltet und folglich ist der Transistor 
1320 durchgeschaltet. Dadurch wird die Leitung 139 mit Massepotential 
verbunden und das Statussignal fuhrt logisch '0. 

Mit Hilfe eines Transistors 1322, welcher dem Widerstand 1310 des 
15 Spannungsteilers parallelgeschaltet ist, wird eine Selbsthalteschaltung 
der Ungestecktsein-Detektionseinheit 13 realisiert. Der Steuereingang 
des Transistors 1322 wird vom Komparatorausgang auf H-Pegel 
geschaltet. Dadurch schaltet der Transistor 1322 durch und uberbruckt 
den Widerstand 1310. Infolgedessen wird der Spannungsteiler nur noch 
20 durch die Widerstande 1312 und 1314 gebildet. Dadurch wird die 
Umschaltschwelle so weit erhoht, dali der Komparator auch im 
geschalteten Zustand bleibt, wenn die Leitung 192 wieder Massepotential 
fuhrt, weil das Sicherheitsmodul wieder gesteckt wurde. 

Der Zustand der Schaltung kann uber das Signal auf der Leitung 139 vom 

25 Prozessor 1 20 abgefragt werden. 

Es ist vorgesehen, daB die Ungestecktsein-Detektionseinheit 13 als 
Schaltungsmittel eine Leitung 137 und ein Schaltmittel 1316 fur eine 
Rucksetzung der Selbsthaltung aufweist, wobei die Rucksetzung vom 
Prozessor 120 uber ein Signal auf der Leitung 137 auslosbar ist. 

30 Der Prozessor 120 kann jederzeit uber einen Anwenderschaltkreis ASIC 
150, uber eine erste Kontaktgruppe 101, uber einen Systembus der 
Steuereinrichtung 1 und beispielsweise uber den Mikroprozessor 91 per 
Modem 83 den Kontakt zu einer entfernten Datenzentrale aufnehmen, 
welche die Abrechnungsdaten uberpruft und gegebenenfalls weitere 

35 Daten an den Prozessor 120 ubermittelt. Der Anwenderschaltkreis ASIC 
150 des Sicherheitsmoduls 100 ist mit dem Prozessor 120 uber einen 
modulinternen Datenbus 126 verbunden. 
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Der Prozessor 120 kann die Ungestecktsein-Detektionseinheit 
zurucksetzen, wenn mittels der ubermittelten Daten eine Reinitialisation 
erfolgreich abgeschlossen werden konnte. Dazu wird uber das 
Rucksetzsignal auf der Leitung 137 der Transistor 1316 durchgeschaltet 

5 und somit die Spannung am Abgriff 1 304 unter die Referenzspannung der 
Quelle 1302 gezogen und die Transistoren 1320 und 1322 sperren. 1st 
der Transistor 1322 im Normalzustand gesperrt, so bilden die 
Widerstande 1310 und 1312 in Serie den oberen Teil des oben 
genannten Spannungsteilers und die Umschaltschwelle wird wieder auf 

10 den Ursprungszustand abgesenkt. 

Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls 
in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausge- 
bildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 

is verschaltet. Das Sicherheitsmodul 100 ist mit einer harten VergufJmasse 
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 
auBerhalb der VergufJmasse 105 auf einer Leiterplatte 106 
auswechselbar angeordnet ist. Beispielsweise ist es so mit einem 
VerguBmaterial 105 vergossen, daB Signalmittel 107, 108 aus dem 

20 VerguBmaterial an einer ersten Stelle herausragen und dalJ die 
Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten 
Stelle herausragt. Die Leiterplatte 106 hat auSerdem Batteriekontakt- 
klemmen 103 und 104 fur den AnschluB der Pole der Batterie 134, 
vorzugsweise auf der Bestuckungsseite oberhalb der Leiterplatte 106. Es 

25 ist vorgesehen, dali zum Anstecken des postalischen Sicherheitsmoduls 
PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 
102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheits- 
moduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht 
uber die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem 

30 Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und 
die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheits- 
moduls 1 00 mit der Systemspannung. Wird das Sicherheitsmodul auf die 
Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Meter- 
gehauses dergestalt angeordnet, so daB das Signalmittel 107, 108 nahe 

35 einer Offnung 109 ist oder in diese hineinragt. Das Metergehause ist 
damit vorteilhaft so konstruiert, daB der Benutzer die Statusanzeige des 
Sicherheitsmoduls trotzdem von auBen sehen kann. Die beiden Leucht- 
dioden 107 und 108 des Signalmittels werden uber zwei Ausgangssignale 
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der l/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide 
Leuchtdioden sind in einem gemeinsamen Bauelementegehause unter- 
gebracht (Bicolorleuchtdiode), weshalb die Abmafle bzw. der Durchmes- 
ser der Offnung relativ klein bleiben kann und in der Grofcenordnung des 
5 Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar 
(rot, grun, orange), von denen aber nur zwei benutzt werden (rot und 
grun). Zur Zustandsunterscheidung werden die LED's auch blinkend 
benutzt, so da(J 5 verschiedene Zustandsgruppen unterschieden werden 
konnen, die durch folgende LED-Zustande charakterisiert werden: LED 
10 aus, LED rot blinkend, LED rot, LED grun blinkend, LED grun. 

In der Figur 7 ist eine Draufsicht auf das postalische Sicherheitsmodul 
dargestellt. 

15 Die Figuren 8a bzw. 8b zeigen eine Ansicht des Sicherheitsmoduls jeweils 
von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102 
unterhalb der Leiterplatte 106 wird aus den Figuren 8a und 8b in 
Verbindung mit Figur 6 deutlich. 

20 Erfindungsgemali ist das postalische Gerat, insbesondere eine Frankier- 
maschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform 
aufweisen, die es ermoglicht, daS es beispielsweise auf das Motherbord 
eines Personalcomputers gesteckt werden kann, der als PC-Frankierer 
einen handelsublichen Drucker ansteuert. 

25 

Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, 
vM^ da offensichtlich weitere andere Anordnungen bzw. Ausfuhrungen der 

Erfindung entwickelt bzw. eingesetzt werden konnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden 
30 Anspruchen umfafit werden. 
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Zusammenfassung 

Die Erfindung betrifft ein Verfahren zum Schutz eines Sicherheitsmoduls 
mit Schritten zur Uberwachung des sachgema&en Einsatzes mittels einer 

5 ersten, zweiten und dritten Funktionseinheit, Lbschen von sensitiven 
Daten aufgrund eines unsachgema&en Gebrauchs oder Austausches 
mindestens mittels der zweiten Funktionseinheit, Sperren der 
Funktionalitat mittels der dritten Funktionseinheit wahrend eines 
Austausches des Sicherheitsmoduls, Reinitialisieren der zuvor geloschten 

10 sensitiven Daten nach sachgemaSem Gebrauch oder Austausch des 
Sicherheitsmoduls und Wiederinbetriebnahme durch Freischalten der 
Funktionseinheiten des Sicherheitsmodules. Die Anordnung zur 
Durchfuhrung des Verfahrens hat eine Ungestecktsein-Detektionseinheit 
(13), die Schaltungsmittel (1310, 1316, 1322, 1324) fur eine rucksetzbare 

15 Selbsthaltung aufweist, wobei die Selbsthaltung ausgeldst wird, wenn der 
Spannungspegel auf einer Meftspannungsleitung (192) von einem 
vorbestimmten Potential abweicht. Eine Logik umfa&t einen mit den 
anderen Funktionseinheiten verbundenen Prozessor (120), welcher 
programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls (100) 

20 festzustellen und zu verandern. 

Fig. 1 
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Anspruche 



1. Verfahren zum Schutz eines Sicherheitsmoduls, mit clen folgenden 
Schritten: 

• Uberwachung cles sachgemaSen Einsatzes mittels einer ersten, 
zweiten und dritten Funktionseinheit, 

• Loschen von sensitiven Daten aufgrund eines unsachgemaflen 
Gebrauchs oder Austausches mindestens mittels der zweiten 
Funktionseinheit, 

• Sperren der Funktionalitat mittels der dritten Funktionseinheit wahrend 
eines Austausches des Sicherheitsmoduls, 

• Reinitialisieren mittels der ersten Funktionseinheit von zuvor 
geloschten sensitiven Daten nach sachgemalJem Gebrauch oder 
Austausch des Sicherheitsmoduls, 

• Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des 
Sicherheitsmodules. 



2. Verfahren, nach Anspruch 1,gekennzeichnet dadurch, 
dad das Reinitialisieren in Verbindung mit einer Kommunikation mittels 
einer entfernten Datenzentrale von der ersten Funktionseinheit vorgenom- 
men wird f nachdem eine dynamische Gestecktsein-Detektion erfolgreich 
durchgefuhrt wurde, wobei wahrend der Detektion von der ersten Funk- 
tionseinheit uber eine Stromschleife (18) der Interfaceeinheit (8) Informa- 
tionen ausgetauscht werden, deren fehlerfreie Ubermittlung den Beweis 
fur den sachgemaBen Einbau erbringt und daS das Freischalten von 
Funktionseinheiten (12, 13) des Sicherheitsmodules durch deren Ruck- 
setzen erfolgt, wobei die erste Funktionseinheit ein Prozessor (120), die 
zweite Funktionseinheit eine Spannungsuberwachungseinheit (12) mit 
rucksetzbarer Selbsthaltung und die dritte Funktionseinheit eine Unge- 
stecktsein-Detektionsschaltung (13) mit rucksetzbarer Selbsthaltung ist. 



3. Anordnung zur Durchfuhrung des Verfahrens nach Anspruch 1 , wobei 
ein Sicherheitsmodul, mit einer Logik (120, 150, 160) und Sensoren (13), 
mit einer Batterie (134) und Mitteln zur Versorgung mit einer 
Systemspannung und mit einem Spannungumschalter (180) ausgestattet 
ist, der uber eine Leitung (136) mit einer Spannungsuberwachungseinheit 
(12) verbunden ist, welche uber eine Leitung (138) eine Betriebs- 
spannung an einen Speicher (122, 124) abgibt, gekennzeichnet 
d a d u r c h, dalS eine Ungestecktsein-Detektionseinheit (13) 
Schaltungsmittei (1310, 1316, 1322, 1324) fur eine rucksetzbare 
Selbsthaltung aufweist, wobei die Selbsthaltung ausgelost wird, wenn der 
Spannungspegel auf einer MeRspannungsleitung (192) von einem 
vorbestimmten Potential abweicht und daS die Logik einen mit den 
anderen Funktionseinheiten verbundenen Prozessor (120) umfa&t, 
welcher programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls 
(100) festzustellen und zu verandern. 

4. Anordnung, nach Anspruch 3, gekennzeichnet dadurch, 
dali die Ungestecktsein-Detektionseinheit (13) als Schaltungsmittei eine 
Leitung (137) und ein Schaltmittel (1316) fur eine Rucksetzung der 
Selbsthaltung aufweist, wobei die Rucksetzung vom Prozessor (120) uber 
ein Signal auf der Leitung (137) auslosbar ist. 

5. Anordnung, nach den Anspruchen 3 bis 4, gekennzeich- 
net dadurch, daB die Ungestecktsein-Detektionseinheit (13) einen 
Spannungsteiler aufweist, der aus einer Reihenschaltung von 
Widerstanden (1310, 1312, 1314) besteht und zwischen einem von einem 
Kondensator (1371) abgreifbaren Versorgungsspannungspotential und 
einem MeSspannungspotential auf der Leitung (192) gelegt ist, wobei die 
Versorgungsspannung von der Leitung (136) uber eine Diode (1369) auf 
den Kondensator (1371) gelangt, dalS der Spannungsteiler (1310, 1312, 
1314) einen Abgriff (1304) aufweist, an welchem ein Kondensator (1306) 
und der nichtinvertierende Eingang eines Komparators (1300) ange- 
schlossen sind, dali der invertierende Eingang des Komparators (1300) 



mit einer Referenzspannungsquelle (1302) verbunden ist, daB cler 
Ausgang des Komparators (1300) einerseits uber einen Negator 
(1324,1398) mit einer Leitung (139) und andererseits mit dem 
Steuereingang eines Schaltmittels (1322) fur die Selbsthaltung verbunden 
ist, wobei das Schaltmittel (1322) zum Widerstand (1310) des 
Spannungsteilers parallel geschaltet ist und daft das Schaltmittel (1316) 
fur eine Rucksetzung der Selbsthaltung zwischen dem Abgriff (1304) und 
Masse geschaltet ist. 

6. Anordnung, nach Anspruch 5, gekennzeichnet dadurch, 
dalJ der Zustand der Selbsthaltung uber die Leitung (139) vom Prozessor 
(120) des Sicherheitsmoduls (100) abfragbar ist. 

7. Anordnung, nach Anspruch 6, gekennzeichnet dadurch, 
daft Mellspannungspotential auf der Leitung (192) Massepotential und 
das Spannungspotential auf der Leitung (139) Betriebsspannungs- 
potential entspricht, wenn der Sicherheitsmodul (100) ordnungsgemaB 
gesteckt ist und daB anderenfalls auf der Leitung (139) Massepotential 
anliegt, wenn der Sicherheitsmodul (100) ungesteckt ist. 

8. Anordnung, nach den Anspruchen 3 bis 7, gekennzeich- 
net dadurch, daft der Prozessor (120) Speicher (122, 124) auf- 
weist, an welche uber die Leitung (138) eine Betriebsspannung Ub+ von 
einer Spannungsuberwachungseinheit (12) gefuhrt wird, daS der Prozes- 
sor (120) mit Systemspannung Us+ versorgt wird und einen vierten 
AnschlulJ (Pin 4) aufweist, urn den Zustand der Selbsthaltung der 
Ungestecktsein-Detektionseinheit (13) uber die Leitung (137) zuruckzu- 
setzen und einen funften AnschlufJ (Pin 5) aufweist, an welchem die 
Leitung (139) angeschlossen ist, urn den Zustand der Ungestecktsein- 
Detektionseinheit (13) abzufragen. 



314 9-DE 



- 28 - 



9. Anordnung, nach Anspruch 8, gekennzeichnet dadurch, 
dafi das Sicherheitsmodul (100) einen Anwenderschaltkreis ASIC (150) 
aufweist und da& der Prozessor (120) uber einen moduiinternen 
Datenbus (126) mit dem Anwenderschaltkreis ASIC (150) verbunden ist, 

5 wobei letzterer uber eine erste Kontaktgruppe (101) mit dem Systembus 
einer Steuereinrichtung (1) in Kommunikationsverbindung steht. 

10. Anordnung, nach einem der Anspruche 3 bis 9, gekennzeich- 
10 net dadurch, dad das Sicherheitsmodul (100) mit einer harten 

VerguSmasse (105) vergossen ist, daR die Batterie (134) des 
Sicherheitsmoduls (100) aulierhalb der Vergulimasse (105) auf einer 
Leiterplatte (106) auswechselbar angeordnet ist, dafi die Leiterplatte 
(106) die Batteriekontaktklemmen (103 und 104) fur den Anschlufc der 
15 Pole der Batterie (134) und eine zweite Kontaktgruppe (102) zur 
Versorgung des Sicherheitsmoduls (100) mit der Systemspannung 
aufweist und daS mindestens eine der Kontaktgruppen (101, 102) zur 
statischen und dynamischen Uberwachung des Angestecktseins des 
Sicherheitsmoduls (100) ausgebildet ist. 

20 

1 1 . Anordnung, nach Anspruch 10, gekennzeichnet da- 
durch, daB der Prozessor (120) Anschlusse (Pin's 6, 7) zur 
dynamischen Uberwachung des Angestecktseins des Sicherheitsmoduls 

25 aufweist, an welcher Leitungen angeschlossen sind, welche zu einer 
Stromschleife (18) verbunden sind, wenn das Sicherheitsmodul (100) 
gesteckt ist. 

30 12. Anordnung, nach einem der Anspruche 3 bis 11, gekennzeich- 
net dadurch, daB der Prozessor (120) des Sicherheitsmoduls (100) 
mit Anschlussen (Pin's 8, 9) zur Ausgabe mindestens eines Signals zur 



Signalisierung des Zustandes des Sicherheitsmoduls (100) ausgestattet 

ist. 

1 3. Anordnung, nach Anspruch 12, gekennzeichnet d a - 
d u r c h, dali an den l/O-Ports einer Ein/Ausgabe-Einheit (125) des 
Prozessors (120) modulinterne Signalmittel (107,108) angeschlossen 
sind. 
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